Nachtrag zu “Forefront TMG Configuration Storage 101”

{ Posted on Mrz 08 2010 by Karsten Hentrup }
Categories : ISA, Karsten Hentrup, Marc Grote, TMG

Zusammenfassend ist folgendes bzgl. des Konfigurationsspeichers festzustellen:

ISA 2006 SE –> Registry
ISA 2006 EE –> ADAM + Registry

TMG 2010 SE –> AD-LDS + Registry
TMG 2010 EE –> AD-LDS + Registry (egal ob “Standalone Array” oder mit “EMS”)

Wir sind auf das Thema gekommen, da mich folgendes verwundert hat. Im Rahmen einer Trainingsvorbereitung wollte ich die Möglichkeit der Remote-Administration testen. Also flux auf einer internen Admin-Maschine die TMG-Konsole installiert und versucht den TMG von fern zu verwalten. Mein TMG SE wurde frisch aufgesetzt und noch nichts bahnbrechendes konfiguriert (nur der “Erste-Schritte-Assistent” wurde einmal ausgeführt).

Spaßeshalber starte ich die TMG-Konsole auf dem Admin-PC und siehe da – eine Verbindung zum TMG funktioniert, ohne das ich auf TMG-Seite irgendwas angepasst hätte. Das verwunderte mich doch sehr, da ich vom ISA gewöhnt bin die Systemrichtlinie zu modifizieren und/oder den Computersatz der Remote-Verwaltungscomputer zu editieren.

Nach einigen Versuchen und Recherchen fiel mir allerdings auf, das die “Echtzeitdaten”, wie z.B. der Servicestatus nicht verfügbar sind und für den Admin-PCs erst sichtbar werden, wenn die Systemrichtlinie für die Remoteverwaltung angepasst wird (und somit RPC erlaubt wird).

2010-03-08_123227

Unabhängig von den “Echtzeitdaten” war ich allerdings schon in der Lage die Konfiguration zu verändern! Dies kam mir recht spanisch vor, da mir dieser “Automatismus” bisher nicht bekannt war. In den Systemrichtlinien zeichnete sich die Regel 34 für diese Funktion verantwortlich. Diese erlaubt es dem Computersatz “Verwaltete Servercomputer” mittels Firewallspeicherprotokoll (LDAP) auf den TMG zuzugreifen – und genau dieser Computersatz wurde von meiner Installation automatisch gefüllt mir einer recht merkwürdigen IP-Range: 10.10.10.0 – 10.10.10.31. Mein TMG hat die interne IP: 10.010.10.1/24 und mein Admin-PC besitzt die 10.10.10.10/24.

2010-03-08_123329

Lange Rede kurzer Sinn: für die (komplette) Remoteverwaltung wird eine Kombination von Firewallspeicherprotokoll und RPC benötigt.
Das Firewallspeicherprotokoll bläst die Konfigurationsänderungen ins AD-LDS und RPC dient dazu die “Echtzeitdaten” zu überwachen.
Ist der PC für die Remoteverwaltung nicht in der Systemrichtlinie 34 (Konfigurationsspeicherserver / lokaler Konfigurationsspeicherserver-Zugriff) enhalten funktioniert die Remoteverwaltung mittels TMG-Konsole (MMC) bei mir nicht!
Ist der PC für die Remoteverwaltung nicht in der Systemrichtlinie 2 (Remoteverwaltung / MMC) enthalten, dann kann ich zwar den TMG konfigurieren, aber die “Echtzeitdaten” nicht sehen (z.B. Dienstestatus und die Sitzungen).

Mir persönlich ist schleierhaft, warum für die TMG SE überhaupt ein AD-LDS verwendet wird. Ich sehe hier den Mehrgewinn/Vorteil nicht, da keine Array-Bildung möglich ist. Ebenfalls ist mir schleierhaft, nach welchem Kriterium der Computersatz “Verwaltete Servercomputer” automatisch gefüllt wird.

Gruß, Karsten Hentrup aka Jens Mander…

|<-|

Post a Comment

Kommentare werden moderiert. Es kann etwas dauern, bis dein Kommentar angezeigt wird.

*